最近,我碰上了一件突发事件,把我吓得不轻,险些就被网安请去 “喝茶”,甚至面临巨额罚款。
几年前,我用开源代码帮朋友搭建了公司业务系统,一直运行得好好的。但就在昨天,朋友突然打来电话,语气焦急,说公安部门找上门,称网站涉嫌违法,责令限期整改,否则将处以 10 - 100 万的罚款。我当时就愣住了,我帮朋友做这个系统,仅仅收了 500 块,这罚款数额实在是让我难以承受。
我心里慌死了,赶紧联系相关部门。这才了解到,原来网站存在安全漏洞,被相关部门扫描到了,说是有被黑客利用盗取客户信息的风险。涉及网络安全法21,25,59,让我重点关注,责令整改。
因为系统用的开源框架带有 Swagger 功能,方便 API 接口调试,可问题就出在 Swagger 地址未授权访问就能进入,这是个严重漏洞。网安的检测报告提到:Swagger 是规范完整的框架,用于生成、描述等 RESTful 风格 Web 服务,能让客户端和文件系统与服务器同步更新。Swagger - UI 会按代码设置自动生成 API 说明文档,若配置有缺陷,攻击者可未经授权查看接口文档,获取参数构造发包,进而得到大量敏感信息。
网安给出封禁路由的解决方案。我赶忙解释,虽然地址能访问,但每个接口都有身份验证,没账号密码无法获取数据。可他们并不买账,严肃告知若不改正,罚款拘留一个都不会少。
我哪见过这阵势,心里直发慌,答应马上修复。随后赶紧处理,完成修复后立刻通过反馈表提交给网安,等了一个星期没再反馈,我这才总算松了口气,感觉这场危机算是安全度过了。
事后我用豆包查了下网络安全法21,25,59,然后也看了很多优秀的开源代码框架,基本都有用Swagger,而且部署网站后Swagger都是直接能访问的,只是接口调用有身份验证。那这么说这些用了开源框架做的系统都面临这个违法风险?
